O Project Zero da Google dedica-se a investigar e a descobrir falhas de segurança nos sistemas operativos e nas aplicações que estão disponíveis. Com regras bem definidas para tornar públicas estas falhas, acaba por lançá-las mesmo que não estejam resolvidas.
Foi isso que aconteceu agora, novamente, com uma falha grave do Windows a ser tornada pública mesmo sem a Microsoft a ter resolvido de forma definitiva.
A falha, que agora foi tornada pública, afeta a totalidade das versões do Windows que ainda têm suporte e permite que qualquer atacante roube dados da memória do sistema operativo. O alvo é o ficheiro gdi32.dll, que está vulnerável.
O facto de ser agora revelada não choca com as regras do Project Zero, pois passaram já 90 dias desde que foi reportada à Microsoft, que até agora ainda não a resolveu de forma definitiva.
Este problema tem andado a ser tratado pela Microsoft, que já tinha lançado uma correção, mas que aparentemente ainda não terá conseguido resolver tal falha. A última notificação feita pela Google foi no dia 16 de Novembro, onde foi mostrado que a falha ainda estava presente na biblioteca GDI. Passados os 3 meses que estão definidos, a Google tornou a falha pública.
Mesmo sendo uma falha grave, não se espera para já que possa ser explorada de forma massiva, uma vez que requer acesso físico às máquinas para que sejam roubados os dados. É, no entanto, natural que a Microsoft corrija em breve esta falha, antes que sejam descobertas formas mais sofisticadas de a explorar.
Esta é uma situação similar à que aconteceu em Novembro de 2016, quando a Google revelou outra falha do Windows, mas desta vez apenas 10 dias depois de ter sido descoberta e a Microsoft notificada.
Depois de ter sido atrasado para o próximo mês o lançamento das atualizações de segurança, espera-se agora, com a pressão da Google, que este problema seja resolvido com a maior brevidade.